В марте и апреле Фонду программного обеспечения Python (PSF) были представлены три повестки в суд с запросом данных о пользователях PyPI, индекса пакетов Python.
PyPI — это репозиторий для распространения сторонних программных пакетов Python — наборов файлов, предоставляющих разработчикам Python определенные функции. Повестки в суд — юридические требования о предоставлении информации — поступили от Министерства юстиции США, сообщил Э Дурбин, директор по инфраструктуре PSF, в своем блоге в среду.
«СРП не была предоставлена информация о правовых обстоятельствах, связанных с этими повестками в суд», — сказал Дурбин. «Всего были запрошены пользовательские данные, относящиеся к пяти именам пользователей PyPI».
Федералы запросили имена, связанные с идентифицированными учетными записями, адреса (включая почтовые, электронные, жилые и служебные), записи о соединениях, записи о времени сеансов и связанные с ними сетевые идентификаторы, даты создания учетных записей, номера телефонов и IP-адреса, используемые при регистрации, оплате. информация, загруженные пакеты Python и журналы загрузки IP-адресов любых пакетов PyPI, загруженных идентифицированными пользователями.
Дурбин настаивает на том, что, хотя PSF по-прежнему стремится защищать данные пользователей от раскрытия, когда это возможно, в данном случае это было невозможно. «По совету адвоката PSF определила, что наш единственный план действий — предоставить запрошенные данные», — сказал Дурбин, который передал запрошенную информацию правительству.
Некоторые из запрашиваемых данных не могут быть предоставлены. Например, PyPI не хранит IP-адреса тех, кто загружает пакеты, поскольку информация GeoIP хранится у поставщика CDN PyPI. Аналогичным образом, PyPi является бесплатным сервисом и, следовательно, не имеет никаких данных для выставления счетов или платежей для владельцев учетных записей.
Повестки в суд побудили PSF пересмотреть и без того ограниченную политику хранения и раскрытия данных PyPI, чтобы сбалансировать юридические обязательства с заявленным интересом организации в защите конфиденциальности пользователей. Дурбин сказал, что эти политики будут четко представлены сообществу Python и будут охватывать то, как будут обрабатываться будущие запросы правительства на данные, а также объем хранимых данных и срок хранения.
«Хотя мы собираем очень мало личных данных от пользователей PyPI, любые ненужные данные по-прежнему подвергаются такого рода запросам в дополнение к базовому риску компрометации данных из-за злого умысла или ошибки оператора», — сказал Дурбин.
Крупные интернет-провайдеры обычно получают законные требования о предоставлении информации о действиях своих пользователей. А те, которые получают достаточное количество запросов, часто публикуют отчеты о прозрачности, в которых указывается — насколько это разрешено законом — количество и характер законных требований.
В своем последнем отчете о прозрачности за 2022 год Microsoft GitHub сообщил, что получил 432 запроса на раскрытие информации о пользователях по сравнению с 335 в 2021 году. Из них 274 были вызваны в суд, 265 — от уголовных расследований или государственных органов, а остальные 9 — в результате гражданских споров; 97 были судебными приказами; и 22 были ордерами на обыск.
Попытки внедрить поддельное программное обеспечение в онлайн-реестры пакетов для облегчения атак на цепочку поставок в последние годы активизировались, и PyPI стал свидетелем своей доли подозрительной активности. В августе прошлого года служба, ориентированная на Python, впервые предупредила о фишинговой атаке, нацеленной на владельцев учетных записей. С тех пор исследователи безопасности сообщили о многочисленных инцидентах PyPI, таких как вредоносное ПО WASP, поддельный SDK SentinelOne, отравленная зависимость PyTorch и инструмент удаленного доступа, получивший название Colour-Blind.
Ранее на этой неделе Дурбин сообщил нам, что PyPI, в которой было всего три администратора, просматривающих отчеты о безопасности от сообщества, планирует нанять специального инженера по безопасности и что PSF собиралась сделать предложение для постоянного разработчика безопасности.
Регистр спросил Дурбина: были ли какие-либо из идентифицированных имен пользователей связаны с учетными записями, помеченными вредоносными программами; является ли это первым законным запросом, полученным PyPI; и планирует ли PyPI или PSF начать выпуск отчетов о прозрачности государственных запросов в будущем, если будет достаточно информационных запросов, чтобы оправдать это.
Мы еще не получили ответа. ®
